鈴の音情報局blog

携帯関連の将来や最新の技術情報や業界の行く末などを適当に綴るblogです。 内容の信憑性は?余り信じない方がいいと思います。
本家の鈴の音情報局はこちら→http://suzusuzu.dip.jp:8800/
スマホ・携帯端末アクセス[ランキング][アクセスシェア(グラフ)] (毎年10/1にログをクリア)

2015年のソフトエアの脆弱性でアップルが1位,2位を独占で脆弱天国を確立

2015年に脆弱性の発見が最も多かったソフトウェアは「OS X」?? ~ 気になる、記になる…
CVE Detailsが公開しているデータによると、2015年に各種ソフトウェアで発見された脆弱性の数で、Appleの「OS X」が384件で1位だった事が分かりました。

なんと、2015年の脆弱性発見ソフトウエアのナンバー1はアップル・マッキントッシュ向けのMac OS X、
ナンバー2はiPhone向けのiOSとCVE Detailsが発表。



アップルのMac OSとiOSがバージョンが別れずに一つだけになっている事。
マイクロソフトのWindowsはバージョン毎に分けられて発表になっています。


アップルのファンからすると「MacOSやiOSだけ全部の合計なんてずるい!」って事を
考えちゃうでしょうが、そこは冷静に。逆に見ていくとWindowsだけバージョン毎に
なっており、例えばadobe製品にしろ、Androidにしろ、ChromeやSafariのブラウザにしろ、
全部のバージョンを一つにまとめています。なのでWindowsの集計だけ特殊です。

何故か?アップルのOSは毎年新しいものが出てきます。
しかしWindowsはメジャーバージョン毎の一つの製品です。

ではWindowsのバージョン毎の分を全部を合計すればMacOSXと同等の意味を示す数字に
なるのでしょうか?それは違います。

Windowsのバージョン毎の集計は、それぞれがほぼ脆弱性を共有している形になっています。
なのでWindowsのそれぞれのバージョンの脆弱性の数字は似ていて、同じぐらいのランキングに
集中してありますね。OS毎の違いは入っているアプリ等の機能パッケージの違い。
勿論世代の違いも有るでしょうが、世代を超えて例えばWindows7以降に有る脆弱性というように、
基本的にはだいたい共通の脆弱性が世代やシリーズを跨いで存在する訳です。
だから脆弱性の数も140~150前後に集中しています。


ではiOSはどうか。よく同じスマホのAndroid OSと安全性で比較されますが、iOSは375、
Androidは130でWindowsよりもまだ少ない状況。iOSはAndroidの2.88倍もの脆弱性が発見された
ことになります。

これでよく「Androidは危険、iOSは安全」等と言えたものです。
OSの出来もマップの出来もAndroid(Google製マップ)とiOS(アップル製マップ)で比較すれば
アプリの出来でOSの出来が想像できると思います。

ニュースを書くメディアが、どれだけ冷静さや公平さを書いた記事を書いてきたのか、
この2.88倍という数字でよく分かると思います。iOSのほぼ1/3しかない脆弱性を持って
Androidは危険危険と騒ぎ立てていたのですから。

楽勝でiOSがJBされ続けている事でも分かるでしょう。
脆弱性ではなく、root化の為の手順を自ら用意してあり、新OSが出ると同時にroot化Kitも
提供されるNexusシリーズとは訳が違うのです。iOSは穴だらけだからJBツールが追従され
続けているわけです。iOS9.2上のSafariの脆弱性を利用したJBは有効のようです。
なのでiOSもそのフォーク元のMac OS Xもまだ色々有りそうです。



では何故アップルが1位2位を欲しいままに出来たのか。
そこは私の想像で埋めさせて頂くと・・・。

iPhone 66 Plusはなんだかんだとまだ伸びていました。
中国をかなり利用してという事は有りますが。
しかもiOS8はiPhone 4sまでリーチ出来たので、最新OSが動作する端末数は確実に伸びました。
当然ハッカーやウイザードは過去OSを漁るよりも最新OSの穴を探しまくります。

というわけで、世界市場では十数パーセントのシェアとマイナーOSの存在であっても、
販売台数が伸びて稼働台数が伸びた結果、解析に参加する人数が単純に増えただけと見るのが
正しい所かなと思います。

だったらAndroidはもっと伸びているんだから更にすごいはずだろうという所ですが、そこはVM上で
動いているOSという事、Google自身がAndroid OSは脆弱性の塊のように言われていたので、
それまでに相当頑張って穴を塞いできた事が功を奏したのだと思います。

逆に言えば安全神話に乗っかっていたアップルが胡坐をかいていたという事も有るのでしょう。
それとWebKitからGoogleが手を引いた事も大きでしょう。SafariよりもChromeの方が脆弱性は
多いよねって事になると思いますが、Chromeはバージョンアップの頻度が半端じゃないです
からね~。これだけバンバン書き換えられていれば何かしら穴は出来てしまうでしょう。
しかもDev版とBeta版と通常版の三種類もリリースしています。

片やSafariなんてiOSのリリース時にしか新バージョンは登場しませんからね。
開発の積極度が違う事が相当効いていると思います。
なので脆弱性が出ても塞ぐペースの違いは圧倒的に差が有りますし、単純な比較が一番
出来ない所のように思います。Chromeの方は穴の出来るペースも速ければ、穴が塞がれる
ペースも速く、付いていく方が大変です。

しかしSafariは上記のようにSEMI JBで出来るバージョンがiOS8.4.1-9.2と書かれているように、
相当に長期間ブラウザの穴が放置されている事が確認できます。
GoogleがWebKitから手を引いた影響は小さくないように思います。

その品質レベルの問題がMac OSにもiOS全体にも同じレベルで存在すると言っていいと思います。
それは以前私が記事にしたgoto fail;の時のソースコードを見ても分かる通りです。
あの品質のソースコードが今のMac OS XにもiOSにもまだ残っていると考えるのが妥当です。

それじゃ脆弱性のツートップを張っても当然としか言えません。
余りに酷いソースなんで。

関連記事
  1. 2016/01/05(火) 02:01:30|
  2. 携帯
  3. | トラックバック:0
  4. | コメント:5
<<定額制音楽配信サービスの利用はiOSで6.3%、Androidで8.7% | ホーム | どんなiPhoneでも動作が軽くなる夢の隠しコマンドが発見される・・・信者様、それって軽くなるのではなく今までわざと重くされていただけじゃないの?>>

コメント

あれ〜!
1〜2年前まで「Android」なんか怖くて使えね〜って言ってたよね?言ってたよね林檎信者さん 言ったよね?世界的に「信者」と言われる人種は迷惑(笑)
  1. URL |
  2. 2016/01/05(火) 18:49:36 |
  3. docomo #2virqQYs
  4. [ 編集]

>> docomoさん
信者様は
「iOSは頻繁にアップデートするし4sもサポートされてるから放置されるAndroidより安心」
と言い張っています。by iOS@2ch/Apple板@2ch
  1. URL |
  2. 2016/01/05(火) 20:29:41 |
  3. 7SUXEN #22s72cIM
  4. [ 編集]

自分のNexus5は最近毎月セキュリティアップデートが降ってくるようになったのでそれなりに安全だと思っています。
今月もそろそろ来るのかな。
Xperiaとかもそういう仕組みが早くできるといいですね!
  1. URL |
  2. 2016/01/05(火) 23:01:05 |
  3. iPhone信者誤認定されたけどnexus6p欲しい #kmb98D8k
  4. [ 編集]

>>iPhone信者誤認定されたけどnexus6p欲しいさん
Googleはそろそろアップデートのコントロールを握ってほしいものです。
たとえばある時期やバージョンで区切って、Google公式アップデートが適用できない仕組み(改造や改変)がある場合、GooglePlayへの接続を許可しない。またはインストーラーで判別して手動でもアプリの追加自体を許可しない。(つまり後から簡単にアプリを入れられない。内蔵ファイラーが無ければ初心者はほぼ打つ手なし)
これがあると、日本キャリア版は言うまでもなくほぼ例外なく(クレーム多発+売れなくなって)全滅しますが、いっそキャリア版は一度全滅してほしいものです。痛い経験をして思い知らなきゃ変わりませんので。
下手にアップデートできるとキャリア謹製糞アプリが動かない?一度も使ったこと無ければ、ありがたく思ったこともありませんし、むしろ動かなくなってくれたほうがありがたいです。
使って欲しければしっかりメンテして。縛り付けての手抜きはダメ。
  1. URL |
  2. 2016/01/06(水) 05:45:33 |
  3. 7SUXEN #22s72cIM
  4. [ 編集]

> Googleはそろそろアップデートのコントロールを握ってほしいものです。

全くその通りだと思います。

が、内部的にはもっとモジュール化してアップデートし易くしなければならないでしょうね。

ただ、そうしちゃうとモノシリック構造なLinuxの問題になっちゃいますので、
マイクロカーネル構造に一から造り変えなくいけなくなりますね。

いや、造り替えじゃなくて新造になっちゃうか。

まぁ、全部 Google Play Edition にしちゃえって話はありますが (^o^)v
  1. URL |
  2. 2016/01/06(水) 10:14:17 |
  3. 生ぴーまん #bnistvpo
  4. [ 編集]

コメントの投稿(投稿時には必ず何らかの名前を付けてください)


管理者にだけ表示を許可する

(名前を入れないとクリックできません)

トラックバック

トラックバックURLはこちら
http://suzunonejh.blog15.fc2.com/tb.php/6495-c48ba78c
この記事にトラックバックする(FC2ブログユーザー)

最近の記事

機能リンク

最近のコメント

カテゴリー

ブログ内検索

ブログリンク

RSSフィード

QRコード

QR

月別アーカイブ



メールフォーム

お問い合わせ・ご質問はこちらから。

名前:
メール:
件名:
本文:

suzunone.m(あっと)gmail.com に
直メでもOKです。